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DISPOSITIF SECURITE DECODEUR D f INFORMATIONS CHIFFREES ET COMPRIMEES, NOTAMMENT 
DMNFORMATIONS VIDEO, AUDIO OU DE TEXTE. 

Un boitiercoopSre avec un microcircuit securise com- 
portant une memoire et un processeur proteges. Le dispo- 

sitif cornporte: des moyens de reception de donnees , , 

chiffr6es et comprimSes; des moyens de dechiffrement (r5; PRODUCTION 
r3, r4) des donnees regues; des moyens de decompression s£u« 
(r2) des donnees dechiffrees; et des moyens de delivrance 
(r1), sous une forme decodee exploitable par un utilisateur, 
des donnees dechiffrees et decomprimees. Le microcircuit 
securise (M; M') incorpore I'ensemble des moyens de de- 
chiffrement (r5; r3, r4) et au moins une partie des moyens 
de decompression (r2), le flux {$) de donnees dechiffrees et 
comprimees delivre par les moyens de dechiffrement aux 
moyens de decompression n'etant pas accessible depuis 
Pexterieur du microcircuit securise. Le microcircuit securise 
peut notamment etre celui d'une carte distincte du boTtier, la 
liaison entre microcircuit et boitier etant une liaison de type 
serie utilisant au moins Tun des contacts RFU selon ISO 
7816-2 pour delivrer le flux de donnees dechiffrees et par- 
tiellement ou totalement decompresses. 
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La presente invention conceme les systemes de diffusion d'information 
dans lesquels r information est acheminee d'un diffuseur a un utilisateur 
sous forme comprimee et chiffree, et dans lesquels I'utilisateur dispose 
d'un decodeur associe a un microcircuit electronique protege, par exem- 
5 pie une carte a microcircuit, qui constitue la clef necessaire pour que le 
decodeur puisse restituer une information en clair. 
Les informations diffusees par de tels systemes peuvent etre variees, par 
exemple des signaux audio (musique) ou video (programmes de televi- 
sion), ou encore des donnees textuelles telles que des depeches d'agen- 
10 ce ou des informations financieres. 

Le but du chiffrement est de reserver I'acces en clair de ces informations 
a des personnes autorisees en contrepartie d'un paiement tel qu'un abon- 
nement ou un paiement a la seance. 

Le microcircuit electronique permettant au decodeur d'assurer le dechif- 
15 frement est en general protege contre la lecture de son contenu et contre 
la recopie, qu'il s'agisse d'une carte a microcircuit introduite dans un con- 
necteur du decodeur, ou d'un microcircuit interne au decodeur. 
Ce degre de securite n'empeche cependant pas que les informations une 
fois decodees puissent etre copiees, permettant ainsi a I'utilisateur autori- 
20 se de faire partager la diffusion de reformation a d'autres personnes non 
autorisees, c'est-a-dire sans souscription d'abonnement aupres du diffu- 
seur ou sans paiement en contrepartie de la restitution en clair de refor- 
mation. 

II existe en effet de nombreuses attaques possibles des systemes exis- 
25 tants dans le but d'enregistrer I'information sous une forme exploitable. 
Ces attaques, qui sont bien connues sur les systemes de telediffusion 
cryptee, seront explicitees dans la description detaillee qui suivra. 
Uun des buts de I'invention est d'empecher, dans la mesure du possible, 
que les informations une fois decodees puissent etre copiees, ou tout au 
30 moins de faire en sorte que cette copie s'accompagne d'une degradation 
notable de la qualite de I'information ou d'une augmentation considerable 
du volume des donnees empechant ou rendant difficile leur enregistre- 
ment. 

Essentiellement, Tinvention propose a cet effet un dispositif decodeur d'in- 
35 formations chiffrees et comprimees, notamment d' informations video, au- 
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dio ou de texte, du type generique connu comprenant un boitier cooperant 
avec un microcircuit securise comportant une memoire et un processeur 
proteges a I'encontre des tentatives d'analyse et de lecture et de recopie 
des informations conservees dans ce microcircuit, ce dispositif decodeur 
5 comportant : des moyens de reception en entree de donnees chiffrees et 
comprimees ; des moyens de dechiffrement des donnees ainsi regues ; 
des moyens de decompression des donnees ainsi dechiffrees ; et des 
moyens de delivrance en sortie, sous une forme decodee exploitable par 
un utilisateur, des donnees dechiffrees et decomprimees. 

10 Selon I'invention, le microcircuit securise incorpore I'ensemble des 
moyens de dechiffrement et au moins une partie des moyens de decom- 
pression, le flux de donnees dechiffrees et comprimees delivre par les 
moyens de dechiffrement aux moyens de decompression n'etant pas ac- 
cessible depuis I'exterieur du microcircuit securise. 

15 Le microcircuit securise peut etre celui d'une carte a microcircuit distincte 
du boitier, ce dernier comportant des moyens de connexion permettant d'y 
coupler la carte a microcircuit, ou bien un microcircuit interne au boitier. 
Dans le cas d'une carte a microcircuit, la liaison entre le microcircuit et le 
boitier est avantageusement une liaison de type serie, tres avantageuse- 

20 ment une liaison telle que le flux de donnees dechiffrees et partiellement 
ou totalement decompresses est delivre par le microcircuit sur au moins 
I'un des contacts RFU selon ISO 7816-2. 
Selon d'autres caracteristiques subsidiaires avantageuses : 

- le boitier comporte une partie des moyens de decompression, cette 
25 partie incluant des circuits propres a delivrer les donnees decompri- 
mees en reponse a des commandes delivrees par le microcircuit secu- 
rise ; 

- le microcircuit securise inclut en outre une partie des moyens de deli- 
vrance en sortie des donnees sous une forme decodee exploitable, 

30 cette partie incluant notamment des moyens de traitement ou de fil- 
trage numeriques ; 

- les donnees regues en entree le sont sous forme de paquets accom- 
pagnes de donnees associees, et les moyens de dechiffrement ope- 
rant par mise en oeuvre d'un premier algorithme permettant le calcul 

35 de clefs de paquet a partir desdites informations associees, et d'un 
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deuxieme algorithme reconstituant un flux d'informations dechiffrees a 
partir des paquets et des clefs de paquet calcules par le premier algo- 
rithme ; 

- le dispositif comprend des moyens de paiement conditionnant la deli- 
5 vrance en sortie des donnees sous une forme decodee exploitable a la 

verification, par le microcircuit, de la realisation prealable d'un paye- 
ment en fonction d'informations tarifaires associees contenues dans 
une memoire, notamment d'informations tarifaires comportant une in- 
formation d'identification d'utilisateur contenue dans une memoire du 
10 microcircuit securise ; 

- le dispositif comprend des moyens d'enregistrement ou des moyens 
de couplage a des moyens d'enregistrement, pouvant en particulier 
enregistrer des donnees comprimees et chiffrees. 

15 0 

On va maintenant donner un exemple de mise en oeuvre de I'invention, en 
reference aux dessins annexes. 

La figure 1 est une illustration, sous forme de schema par blocs, de la 
20 chaine d'emission et de reception des informations, explicitant les diver- 
ses etapes de transformation des signaux. 

La figure 2 represente le decodeur de I'utilisateur avec ses differents ele- 
ments associes. 

La figure 3 montre les differentes plages de contact normalisees d'une 
25 carte a microcircuit. 

0 

On va tout d'abord exposer en reference a la figure 1 la maniere dont 
30 fonctionnent les meilleurs systemes actuels (c'est-a-dire ceux procurant la 
securite la plus elevee a I'encontre des fraudes) de diffusion d'informa- 
tions cryptees, typiquement des signaux de television cryptes. 
On va tout d'abord decrire les etapes mises en oeuvre cote emetteur : 
e1) On produit tout d'abord un flux de signaux numeriques, soit direc- 
35 tement soit par numerisation de signaux analogiques, donnant ain- 
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si un flux de donnees non comprimees O de grand debit, de Tordre 
de 10 s bps (bits par seconde) pour I'audio et 10 8 bps pour la video. 

e2) Le flux <D est ensuite comprime selon une technique de compres- 
sion avec perte d'information, par exemple du type MPEG, pour 
donner un flux de moyen debit <j>, de Tordre de 10 5 bps pour I'audio 
et 3.10 6 bps pour la video ; cette operation met en oeuvre des 
moyens techniques relativement evolues, c'est-a-dire necessitant 
une forte puissance de calcul, pour parvenir a une compression qui 
n'altere pas trop la qualite sonore ou visuelle du signal; 

e3) Ce flux comprime <|> est ensuite decoupe en paquets, representant 
chacun par exemple 0,1 seconde de son ou d'image ; pour chaque 
paquet, on choisit une valeur numerique formant clef de paquet 
telle que la possession de la clef maitresse d'un premier algorithme 
cryptograph ique ALG1 soit necessaire pour calculer cette clef de 
paquet. A titre d'exemple, on associe a chaque paquet un indice 
incremental et la clef de paquet est obtenue en chiffrant I'indice 
avec la clef maitresse par un algorithme triple-DES. 

e4) Chaque paquet est ensuite chtffre avec un second algorithme cryp- 
tographique ALG2 utilisant comme cief la clef de paquet (on notera 
que le flux de donnees pour le premier algorithme ALG1 est de 
Tordre de 10 3 bps, tres inferieur au flux de donnees du second al- 
gorithme ALG2, qui est celui <J> a moyen debit des donnees com- 
primees). 

Le flux chiffre resultant de Tetape e4 est ensuite diffuse, accompagne d'in- 
formations complementaires necessaires au calcul des clefs de paquet, 
dans cet exemple les indices de paquet. II peut s'agir d'une diffusion a 
sens unique, du type satellite, cederom ou DVD-ROM, ou a la demande, 
telle qu'une diffusion par cable, via Internet, par le reseau telephonique 
commute ou RNIS. 

Bien entendu, cette diffusion s'accompagne de diverses operations de ve- 
rification de Tintegrite de ('information transmise et de correction even- 
tuelles d'erreurs, qui ne sont pas concernees par la presente invention. 
On notera que le terme "diffusion" ne doit pas etre entendu au sens tech- 
nique strict (telediffusion ou radiodiffusion, par voie hertzienne ou filaire) 
mais qu'il inclut egalement, par exemple, la diffusion ^informations par 
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distribution de supports physiques tels que cederoms, DVDs, disquettes, 
etc., les enseignements de Tinvention s'appliquant aussi bien au dechif- 
frement et a la decompression d'informations lues sur un support physi- 
que de cette nature. 

On va maintenant decrire les etapes mises en oeuvre du cote du recep- 
teur. 

Le recepteur ou decodeur comporte un microcircuit electronique securise, 
c'est-a-dire protege contre I'analyse et la duplication de son contenu, et 
contenant la clef maitresse necessaire au dechiffrement. 
Les etapes successivement mises en oeuvre sont les suivantes (on utilise- 
ra des references comprenant des indices homologues des etapes cor- 
respondantes mises en oeuvre a remission) : 

r3) Le microcircuit re^oit les informations necessaires au calcul des 
clefs de paquet (dans le present exemple, les indices de paquet) et 
applique le premier algorithme cryptographique ALG1 ; il communi- 
que les clefs de paquet ainsi calculees au reste du decodeur. 

r4) Le decodeur dechiffre ensuite les paquets en utilisant le second al- 
gorithme cryptographique ALG2 et la clef de paquet correspondant, 
produisant un flux de donnees <j> identique a celui resultant de I'eta- 
pe e2, c'est-a-dire des donnees comprimees de moyen debit. 

r2) Le decodeur decomprime ensuite ce flux de donnees 4> t operation 
qui necessite des moyens relativement limites par rapport a ceux 
mis en oeuvre a Tetape e2, donnant ainsi un flux de donnees de 
grand debit a>' comparable au flux O resultant de I'etape e1, mais 
non identique du fait des modifications liees au processus de com- 
pression/decompression. 

r1) Le decodeur convertit ce flux de donnees <P' de maniere accessible 
aux sens humains, par exemple en commandant la vibration d'une 
membrane de haut-parleur ou la luminescence d'un tube cathodi- 
que ; typiquement cette etape r1 comporte tout tfabord une con- 
version numerique/analogique. 

On notera que le systeme ici decrit est un systeme numerique, ce qui 

permet une forte compression a I'etape e2. 

Le processus peut etre egalement transpose a un systeme analogique, 
par exemple pour les systemes de conception plus ancienne utilisant a 
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I'etape e2 un encodage analogique du type PAL, SECAM ou NTSC et 
pour e4 un chiffrement analogique du type permutation ou rotation de li- 
gnes ; le principe de fonctionnement est identique, quoique le flux resul- 
tant de I'etape r4 ne soit, dans ce cas, qu'approximativement identique au 
5 flux <|> resultant de I'etape e2. 

La technique que Ton vient d'exposer presente un certain nombre de 
points faibles qui la rendent vulnerable. 

Meme si Ton suppose que le microcircuit et le premier algorithme crypto- 
graphique ALG1 sont effectivement resistants, il reste diverses attaques 
10 possibles lorsque Ton souhaite enregistrer I'information sous une forme 
exploitable, a savoir : 

1 °) L'attaque du second algorithme ALG2, c'est-a-dire la reconstitution 
de I'etape r4 sans disposer du flux de donnees resultant de I'etape 
r3, par exemple en utilisant des redondances dans le flux de don- 
15 nees resultant normalement de r4 ; la conception du second algo- 

rithme s'efforce de rendre cette operation difficile, mais on ne peut 
exclure une attaque reussie — impliquant de changer tous les de- 
codeurs qui utilisent ce second algorithme ALG2. 
2°) L'enregistrement, d'une part, du flux d'informations cryptees tel que 
20 diffuse (en entree de r4) et, d'autre part (sur un decodeur equipe 

du microcircuit legitime), du flux des clefs de paquet, puis le deco- 
dage par un decodeur denue du microcircuit legitime et recevant 
ces deux flux d'informations. Le volume de donnees represents par 
les clefs de paquet etant tres faible, ces informations peuvent par 
25 exemple etre mises a disposition par radio ou sur Internet 

3°) L'enregistrement du flux d'informations dechiffrees resultant de 
I'etape r4, suivi de son exploitation ulterieure dans un dispositif ap- 
pliquant r2 et r1. Cet enregistrement peut se faire : 

sur un decodeur equipe du microcircuit legitime, en recuperant 
30 les informations transitant de Tetage realisant r4 vers celui rea- 

lisant r2 (les decodeurs les plus recents tentent d'eviter cette 
attaque en regroupant les etapes r4 et r2 dans un meme circuit, 
ou le flux en question est peu accessible), 
en reproduisant I'etape r4 dans un dispositif approprie, rece- 
35 vant d'une part le flux d'informations cryptees tel que diffuse, 
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cTautre part le flux des clefs de paquet issues d'un microcircuit 
legitime, le dispositif reproduisant le dechiffrement par I'algo- 
rithme rapide (cette attaque pouvant se combiner a la prece- 
dente). 

5 4°) L'enregistrement du flux ^informations resultant de Petape r2. Mais 
le debit a ce stade etant eleve, en particulier pour la video, le frau- 
deur aura interet a recomprimer les donnees, c'est-a-dire appliquer 
une etape similaire a e2 ; on peut supposer que la difficulty techni- 
que de I'operation, ainsi que la perte de qualite resultante (perte 
10 d'autant plus importante que les moyens utilises sont modestes) 

diminue I'attrait de la technique. 
5°) L'enregistrement des signaux sous une forme derivee de r2, par 
exemple une forme analogique intermediate utilisee dans r1. La 
reduction de qualite est alors nette ; de plus, on connait divers 
15 moyens analogiques empechant de faire une copie de qualite ac- 

ceptable avec un enregistreur video grand public. 
L'invention s'efforce de remedier a ces inconvenients qui rendent le sys- 
teme vulnerable aux tentatives des fraudeurs. 

Elle consiste essentiellement a integrer dans le microcircuit de securite la 
20 totalite du dechiffrement (etapes r3 + r4 ci-dessus) et au moins la plus 
grande partie de la decompression (etape r2 ci-dessus), de sorte que le 
flux (J) (de moyen debit) de donnees dechiffrees et comprimees ainsi que 
le flux des clefs de paquet ne soient pas presents hors du microcircuit et 
ne soient done jamais accessibles. 
25 On a illustre sur la figure 1 en traits tiretes les limites du microcircuit secu- 
rise, dans les deux variantes M, ou ce microcircuit inclut la totalite des 
etages de decompression de I'etape r2, et M\ ou il ne met en oeuvre 
qu'une partie de cette etape. 

Dans ces conditions, I'attaque n° 1 (exposee plus haut) est rendue plus 
30 difficile, car I'algorithme cryptographique peut rester secret. De plus, si sa 
securite est compromise par un defaut de conception et qu'il doit etre 
remplace par un autre algorithme, il est possible de changer le seul mi- 
crocircuit si ce dernier est amovible, sans modification du decodeur lui- 
meme. Un avantage annexe est que Ton peut utiliser des algorithmes va- 
35 riant selon la zone de diffusion, voire faire evoluer Talgorithme de decom- 
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pression. Enfin, le boTtier du decodeur seul (c'est-a-dire sans son micro- 
circuit securise) ne contenant aucun algorithme cryptographique, n'est 
soumis a aucune reglementation particuliere. 

Les attaques n° 2 et n° 3 precitees sont rendues impossibles, puisque les 
5 flux de donnees intermediates necessaires pour ces attaques restent in- 
ternes au microcircuit. 

Le systeme que Ton vient de decrire peut se presenter sous une forme 
simplifiee, avec les deux algorithmes de chiffrement ALG1 et ALG2 re- 
groupes en un seul. 
10 Dans ces conditions, les etapes cote emetteur seront : 

e1 ) Production des signaux numeriques (sans changement), 
e2) Compression (sans changement), 

e5) Chiffrement du flux <j> des donnees par un procede cryptographique 
utilisant une clef maltresse. 
15 Cote recepteur, le decodeur comprend un microcircuit electronique secu- 
rise qui contient la clef maitresse. Les etapes mises en oeuvre sont : 
r5) Le microcircuit re?oit le flux de donnees resultant de e5 et le de- 
chiffre, reconstituant (en I'absence d'erreur de transmission) le flux 
de donnees 4> tel qu'il avant ete produit a I'etape e2. 
20 r2) Le meme microcircuit (le fait qu'il s'agisse du meme microcircuit, et 
non d'un autre circuit du decodeur, est une caracteristique essen- 
tielle de I'invention) decomprime ce flux de donnees produisant 
un flux de donnees <!>', comparable a celui O resultant de Tetape e1 
(les differences tenant au processus de compression/decompres- 
25 sion). Ce flux O' est communique par le microcircuit au reste du de- 

codeur. 

r1) Conversion sous forme perceptible aux sens (sans changement). 
Comme illustre figure 2, I'invention peut etre mise en ceuvre par un boitier 
10 assurant I'interfafage entre, d'une part, des moyens 12 de reception 

30 hertzienne (typiquement une antenne ou un decodeur satellite), un reseau 
cable 14, un lecteur de DVD-ROM 16, etc. et, d'autre part, un recepteur 
de television 18 ou une chaine haute-fidelite 20. Le boitier peut compren- 
dre un mecanisme de selection de programmes et/ou d'acheminement 
selectif d'un programme a la demande. 

35 Ce boitier coopere avec un microcircuit securise 22, par exemple le mi- 
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crocircuit d'une carte amovible 24 inseree dans une fente 26 du boitier 
10, I'ensemble boitier 10 + microcircuit 22 constituant le "decodeur" men- 
tionne plus haut. 

L'information selectionnee parvient, comprimee et chiffree, du boitier 10 
5 au microcircuit 22, et celui-ci — s'il contient la clef appropriee et even- 
tuellement si d'autres conditions sont remplies, par exemple le debit de 
points prepayes ou le telepaiement d'un abonnement ou de I'acces a un 
programme — la dechiffre et la decomprime, sans que la forme dechiffree 
et comprimee ne soit accessible. Le flux decomprime est delivre par le 

10 microcircuit 22 au boitier 10 pour etre applique, apres les conversions 
appropriees au televiseur 18 ou Tamplificateur de la chaine 20. 
Ce principe de base peut recevoir plusieurs perfectionnements. 
Un premier perfection nementwse a optimiser la connexion du microcircuit 
au boitier, ainsi que la repartition entre microcircuit et boitier des ele- 

15 ments intervenant dans le processus de decompression r2 et de conver- 
sion r1 . 

Tout d'abord, pour reduire au minimum le nombre de contacts, la liaison 
entre le microcircuit et le boitier est avantageusement de type serie. 
Pour les flux de donnees, en particulier le flux <£' de grand debit sortant 
20 de r2, on peut utiliser les contacts "RFU" ("reserve pour usage futur") de 
la norme ISO 7816-2. 

La figure 3 montre la disposition des contacts d'une carte a microcircuit 
selon cette norme. 

On notera que les contacts de masse GND, d'alimentation VCC, d'horloge 
25 CLK, de remise a zero RST et d'entree/sortie I/O gardent leurs fonctions 
habituelles, I/O servant pour les fonctions de supervision telles celles de 
Tetape r3 et/ou, par multiplexage, pour les flux de donnees plus lents, en 
particulier les flux entrant dans r5. 

La synchronisation de ces flux de donnees serie se fait par une boucle a 
30 verrouillage de phase integree au microcircuit, synchronisee sur un signal 
entrant dans le microcircuit tel que les donnees entrant dans r5 et/ou sur 
CLK. 

On prevoit dans le code de donnees sortant du microcircuit un code de 
detection d'erreur et une inhibition de la restitution sonore ou visuelle 
35 lorsque le boitier detecte une erreur dans ce flux, ceci pour prevenir des 
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bruits ou images indesirables, lorsque le microcircuit presente un mauvais 
contact avec le boitier. 

Par ailleurs, toujours dans ce perfectionnement visant a optimiser la con- 
nexion du microcircuit au boltier, on peut deporter dans le boitier les der- 
5 nieres etapes du processus de decompression r2, ceci afin de diminuer la 
complexity du microcircuit, en particulier la quantite de memoire et la 
puissance de traitement necessaires. 

Dans te cas de signaux audio, on sait que les procedes de decompres- 
sion comprennent dans la phase precedant la conversion numerique/ana- 

10 logique la generation et la combinaison de divers signaux dont les carac- 
teristiques sont calculees par ailleurs, par exemple la generation et I'addi- 
tion numerique de signaux tels que sinusoTde et/ou ondelette et/ou bruit 
dont la frequence et/ou I'amplitude et/ou le spectre et/ou I'enveloppe sont 
parametres. On peut alors prevoir que la commande (parametrage) de 

15 ces generateurs soit realisee par le microcircuit, mais que la generation et 
la combinaison proprement dites soient realisees dans le boitier, I'essen- 
tiel de la puissance de calcul etant ainsi deporte dans ce boitier. 
En video, les procedes de decompression comprennent dans la phase 
finale de generation du signal decode la recopie d'informations provenant 

20 de lignes et trames d'images precedentes et/ou le remplissage de zones. 
On peut alors prevoir que le boitier stockera ces informations et realisera 
les copies et le remplissage, mais selon des parametres produits par le . 
microcircuit. 

A contrario, si Ton dispose encore dans le microcircuit d'une puissance de 
25 calcul suffisante, on peut integrer dans celui-ci non seulement la decom- 
pression r2, mais egalement les premieres phases du processus de con- 
version r1, afin d'augmenter le debit binaire de Tinformation sortant du 
microcircuit et rendre son stockage plus difficile, ce qui permet de lutter 
plus efficacement, dans une certaine mesure, contre I'attaque n° 4 preci- 
30 tee. En particulier, pour de I'audio, on peut integrer dans le microcircuit le 
traitement numerique tel que la modification du nombre de bits de I'echan- 
tillonnage et/ou le filtrage numerique, permettant de diminuer la complexi- 
ty du filtre analogique place en aval du convertisseur numerique/analogi- 
que du boitier. 

35 Un deux&me perfectionnement consiste a realiser chacune des etapes e5 
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et r5 en deux etapes respectives e3 + e4 et r3 + r4 mettant en jeu deux 
algorithmes distincts, ce qui est justifie cryptographiquement parlant, dans 
le but de realiser I'operation avec un bon compromis complexite/cout. 
Un troisi&me perfectionnement consiste a prevoir un mecanisme supple- 
5 mentaire destine a tarifer Tutilisation du systeme. 

On prevoit a cet effet dans le microcircuit un moyen de conditionner la 
production des informations dechiffrees a la realisation prealable d'un 
payement, moyen operant en traitant le contenu d'une memoire contenant 
les droits du possesseur du microcircuit. Cette memoire peut etre situee 
10 dans le microcircuit lui-meme, ou bien dans le boltier, ou encore chez le 
diffuseur ^informations. 

Ces droits evoluent en fonction de I'usage qui est fait du systeme ; par 
exemple une zone de credit de cette memoire est debitee a la premiere 
diffusion de reformation, par exemple la premiere audition d'un morceau 

15 de musique, et Tidentifiant de ce morceau est stocke dans cette memoire, 
permettant a I'utilisateur qui souhaite reecouter ulterieurement le meme 
morceau de le faire sans debit, ou a debit reduit. Certaines operations 
sont inhibees lorsque le credit tombe a zero. Des moyens de recharge- 
ment sont prevus par ailleurs. 

20 Si elle est chez le diffuseur, la memoire peut etre subdivisee en zones 
correspondent chacune a un microcircuit donne, la zone adequate etant 
selectionnee a partir d'un identifiant du microcircuit contenu dans une 
memoire de celui-ci. 

Outre I'enregistrement dans la memoire d'un identifiant du morceau, I'a- 
25 chat des droits peut etre materialise par le stockage dans la memoire du 
microcircuit de la clef et/ou de I'algorithme de dechiffrement de ce mor- 
ceau ; cette mesure permet d'eviter d'avoir une clef et/ou un algorithme 
universels valables pour tous les morceaux. 

On prevoira qu'aux donnees comprimees et chiffrees est ajoutee une in- 
30 formation d'identification/tarification exploitee par le microcircuit pour de- 
terminer quelle clef et/ou algorithme de dechiffrement et/ou quelle tarifi- 
cation est a appliquer au flux d'information chiffre. A une etape e6 (par 
exemple posterieure a e5), cette information d'identification/tarification est 
ajoutee au flux de donnees ; et a une etape r6 (par exemple prealable a 
35 r5), cet identifiant est extrait et exploite par le microcircuit pour determiner 
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quelle clef et/ou quel algorithme utiliser a I'etape 5, et/ou quelle tarifica- 
tion appliquer (par exemple si les droits de dechiffrement par le microcir- 
cuit sont acquis definitivement, ou font I'objet d'un payement a chaque 
utilisation, et a quel tarif). 
5 Pour proteger la partie tarification de cette information contre les altera- 
tions intentionnelles, on peut utiliser une methode cryptographique, par 
exemple I'ajout d'une signature electronique des donnees incluant la tari- 
fication et verifiee par le microcircuit, ou en inserant cette information de 
tarification avant le chiffrement, de sorte que son alteration rapide rende 
10 inexploitable le reste des donnees. 

Un quatri&me perfectionnement consiste a associer un enregistreur au 
systeme de I'invention. 

A cet effet, le boitier 10 peut contenir un dispositif d'enregistrement de 
Tinformation (ou comprendre des moyens de connexion a un tel disposi- 
15 tif), permettant une utilisation ulterieure sans qu'il soit necessaire d'ache- 
miner Tinformation par la voie de diffusion. 

L'information peut etre enregistree sous forme encore comprimee et chif- 
free ; elle sera dechiffree et decomprimee a la relecture, qui necessitera 
done la presence du microcircuit (cette prestation pouvant eventuellement 

20 etre accompagnee d'un paiement). L'enregistrement peut egalement avoir 
lieu de fagon concomitante a la premiere utilisation. 
Ces dispositifs d'enregistrement peuvent par exemple prendre la forme 
d'une memoire a semiconducteurs, d'un disque dur 28, d'une bande ma- 
gnetique 30 de type DAT, d'un disque 32 magneto-optique ou de type 

25 WORM optique ou DVD-RAM, etc., si Ton souhaite un enregistrement 
numerique direct. En variante ou en complement, le boTtier 10 peut ega- 
lement comporter des moyens de conversion numerique/analogique pour 
l'enregistrement et de conversion analogique/numerique pour la lecture 
dans ie cas d'un enregistrement analogique, typiquement sur un magne- 

30 toscope VHS. 
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REVENDICATIONS 

1. Un dispositif decodeur d'informations chiffrees et comprimees, notam- 
ment d'informations video, audio ou de texte, du type comprenant un bot- 

5 tier (10) cooperant avec un microcircuit securise (22) comportant une 
memoire et un processeur proteges a rencontre des tentatives d'analyse 
et de lecture et de recopie des informations conservees dans ce microcir- 
cuit, ce dispositif decodeur comportant : 

- des moyens de reception en entree de donnees chiffrees et compri- 
1 0 mees, 

- des moyens de dechiffrement (r5 ; r3, r4) des donnees ainsi re$ues, 

- des moyens de decompression (r2) des donnees ainsi dechiffrees, et 

- des moyens de delivrance (r1 ) en sortie, sous une forme decodee ex- 
ploitable par un utilisateur, des donnees dechiffrees et decomprimees, 

15 dispositif caracterise en ce que le microcircuit securise incorpore I'en- 
semble des moyens de dechiffrement (r5 ; r3, r4) et au moins une partie 
des moyens de decompression (r2), le flux {$) de donnees dechiffrees et 
comprimees delivre par les moyens de dechiffrement aux moyens de de- 
compression n'etant pas accessible depuis I'exterieur du microcircuit se- 

20 curise. 

2. Le dispositif de la revendication 1 , dans lequel le microcircuit securise 
(22) est celui d'une carte a microcircuit (24) distincte du boitier, ce dernier 
comportant des moyens de connexion permettant d'y coupler la carte a 

25 microcircuit. 

3. Le dispositif de Tune des revendications 1 et 2, dans lequel le microcir- 
cuit securise est un microcircuit interne au boitier. 

30 4. Le dispositif de Tune des revendications 2 et 3, dans lequel la liaison 
entre le microcircuit et le boitier est une liaison de type serie. 



35 



5. Le dispositif de la revendication 4, dans lequel le flux de donnees de- 
chiffrees et partiellement ou totalement decompresses est delivre par le 
microcircuit sur au moins Tun des contacts RFU selon ISO 7816-2. 
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6. Le dispositif de Tune des revendications 1 a 5, dans lequel le boitier 
comporte une partie des moyens de decompression (r2), cette partie in- 
cluant des circuits propres a delivrer les donnees decomprimees en re- 
ponse a des commandes delivrees par le microcircuit securise. 

5 

7. Le dispositif de Tune des revendications 1 a 6, dans lequel le microcir- 
cuit securise inclut en outre une partie des moyens de delivrance (r1) en 
sortie des donnees sous une forme decodee exploitable, cette partie in- 
cluant notamment des moyens de traitement ou de filtrage numeriques. 

10 

8. Le dispositif de Tune des revendications 1 a 7, dans lequel les donnees 
regues en entree le sont sous forme de paquets accompagnes de don- 
nees associees, et les moyens de dechiffrement operent par mise en oeu- 
vre d'un premier algorithme (ALG1) permettant le calcul de clefs de pa- 

15 quet a partir desdites informations associees, et d'un deuxieme algo r 
rithme (ALG2) reconstituant un flux (<j>) d'informations dechiffrees a partir 
des paquets et des clefs de paquet calcules par le premier algorithme. 

9. Le dispositif de Tune des revendications 1 a 8, comprenant des moyens 
20 de paiement conditionnant la delivrance en sortie des donnees sous une 

forme decodee exploitable a la verification, par le microcircuit, de la reali- 
sation prealable d'un payement en fonction d'informations tarifaires asso- 
ciees contenues dans une memoire. 

25 10. Le dispositif de la revendication 9, dans lequel les informations tari- 
faires comportent une information d'identification d'utilisateur contenue 
dans une memoire du microcircuit securise. 

11. Le dispositif de Tune des revendications 1 a 10, comprenant des 
30 moyens d'enregistrement ou des moyens de couplage a des moyens d'en- 

registrement (38, 30, 32). 

12. Le dispositif de la revendication 11, dans lequel les donnees delivrees 
aux moyens d'enregistrement sont des donnees comprimees et chiffrees. 

35 
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